Злоумышленники распространяют новый зловред под названием FormBook среди аэрокосмических предприятий, оборонных подрядчиков и некоторых промышленных компаний в США и Южной Корее.

По данным FireEye, зловред FormBook нашелся в нескольких масштабных рассылках спама, предназначенного адресатам из США и содержащего вредоносные вложения в форматах PDF, DOC и XLS. Южнокорейские цели злоумышленники забрасывают электронными письмами с вредоносными архивами (ZIP, RAR, ACE и ISO), включающими исполняемый код.

FormBook — это разновидность вредоносных программ для кибершпионажа и хищения данных путем записи нажатых клавиш, перехвата содержимого буфера обмена и извлечения данных из HTTP-сессий. Как пишут в отчете FireEye Нарт Вильнев (Nart Villeneuve), Рэнди Эйцман (Randi Eitzman), Шандор Немеш (Sandor Nemes) и Тайлер Дин (Tyler Dean), после установки зловред может исполнять указания командного сервера, например, на загрузку дополнительных файлов, запуск процессов, выключение и перезапуск компьютера или кражу файлов cookie и локальных паролей.

“Самое интересное в этом зловреде то, что он считывает Windows-библиотеку ntdll.dll с диска, загружает ее в память и напрямую обращается к экспортируемым функциям, обходя механизмы перехвата на уровне пользователя и мониторинга API”, — сказано в блог-записи FireEye.

В одном из описанных экспертами сценариев код FormBook попадает в систему из самораспаковывающегося RAR-архива: он запускает загрузчик AutoIt, который затем компилирует и выполняет скрипт AutoIt. Последний расшифровывает файл с кодом FormBook, загружает его в память и запускает на исполнение.

“Хотя зловред FormBook не отличается уникальной функциональностью или механизмами распространения, за счет относительной простоты применения, дешевизны и доступности он стал популярным инструментом киберпреступников разного уровня”, — отметили эксперты.

FormBook появился в продаже в июле на теневых хакерских форумах за 29 долл. США в неделю, в то время как “профессиональный” полноценный комплект автор отдает за 299 долларов. По условиям продавца зловреда, покупатель оплачивает доступ к панели управления, а затем автор индивидуально генерирует исполняемые файлы.

Что касается backend-инфраструктуры FormBook, домены командных серверов зачастую привязаны к новоиспеченным и не самым распространенным TLD-зонам (.site, .website, .tech, .online и .info).

“Серверная инфраструктура размещена у украинского хостинг-провайдера BlazingFast.io. На каждом сервере обычно предусмотрено несколько мест для установки панелей управления FormBook, что говорит в пользу партнерской модели распространения”, — сообщают эксперты FireEye.

Зловред задействует разные механизмы перехвата как минимум для 32 целевых процессов, среди которых iexplore.exe, firefox.exe, chrome.exe, MicrosoftEdgeCP.exe и explorer.exe.

“После внедрения в любой целевой процесс зловред в соответствии со сценарием перехватывает API на уровне пользователя”, — указано в отчете FireEye.

Чтобы закрепиться в системе, зловред случайным образом меняет используемые пути, имя файла, его расширение и ключи реестра.

Эксперты FireEye выявили две параллельные email-кампании, проходившие с 11 по 22 августа, и одну дополнительную рассылку, начавшуюся 18 июля и закончившуюся 17 августа. В рамках одной из кампаний хакеры рассылали письма с PDF-вложением на тему доставки и отслеживания посылок через службы FedEx и DHL.

В файлах PDF были сокращенные через сервис tny.im ссылки, перенаправляющие жертву на промежуточный сервер с исполняемым файлом FormBook, сообщают исследователи. Письма с вложениями в форматах DOC и XLS преимущественно содержали вредоносный макрос, при запуске загружающий код FormBook. В других случаях к сообщениям спамеров крепились архивы ZIP, RAR, ACE и ISO с исполняемым файлом FormBook.

“За последние несколько недель мы заметили, что FormBook иногда загружает зловреды других семейств, таких как NanoCore, — отметили эксперты. — В случае удачного заражения FormBook может похитить учетные данные и другую полезную информацию для организации новых киберпреступлений: кражи личности, фишинга, банковского мошенничества, вымогательства и не только”.

Категории: Вредоносные программы, Спам